[Software] Als sicher geltende Passwörter nicht mehr sicher

Prince · 09.02.13, 06:51

Zitat:

Das Beratungshaus Deloitte hat den Anbietern von Webdiensten und den Nutzern dringend geraten, sich schnell Gedanken über einen Ersatz für die bisher übliche Sicherung eines Accounts durch ein Passwort zu machen.

Bisher galten Kennungen als recht sicher, wenn sie mindestens acht Zeichen lang waren und nicht aus gewöhnlichen Wörtern, sondern aus Kombinationen von Buchstaben, Ziffern und Sonderzeichen bestanden. Abgesehen von einer Reihe von anderen Problemen, die sich bei Untersuchungen in der praktischen Handhabung von Passwörtern immer wieder ergeben, ist diese Annahme inzwischen aber nicht mehr zutreffend.

Auf einer Standard-Tastatur stehen den Anwendern 94 unterschiedlichen Zeichen zur Verfügung, die sie in einem Passwort verwenden könnten. Bei acht Stellen ergeben sich so rund 6,1 Billiarden Kombinationsmöglichkeiten. Um diese mit einer Brute-Force-Attacke durchzuprobieren benötigte ein schneller PC vor wenigen Jahren noch rund ein Jahr - was selbst dann nicht effizient wäre, wenn das Passwort dem Angreifer einen direkten Zugriff auf die Kreditkarte geben würde.

Inzwischen hat die Technologie in dem Bereich aber enorme Fortschritte gemacht. Wie die Experten von Deloitte berichteten, stehen inzwischen ausreichend Technologien zur Verfügung, um die Berechnungen beispielsweise auf Grafikkarten auszulagern. Eine speziell für Brute-Force-Aufgaben konzipierte Maschine zum Preis von rund 30.000 Dollar verkürzt das Knacken eines als 8-stelligen Passworts mit gut durchmischten Zeichen auf nicht einmal mehr sechs Stunden.

Doch nicht einmal solche spezialisierten Rechner sind nötig. Per Distributed Computing kann das Knacken der Passwörter auch auf mehrere schwächere Rechner verteilt werden, die dann nicht weniger effizient sind. Angenommen, den Angreifern steht hierfür gleich ein ganzes Botnetz zur Verfügung, sind sie durchaus in der Lage, auch Nutzerdatenbanken mit hunderten oder tausenden Accounts in annehmbarer Zeit durchzurechnen.

Noch leichter werden die Attacken, da kaum ein Nutzer tatsächlich eine optimale Mischung von Zeichen vornimmt. Studien ergaben, dass am Anfang des Passwortes in der Regel leicht zu merkende Wörter stehen - mit Großbuchstaben vorn. Ziffern und Sonderzeichen tauchen eher am Ende auf. So kann die Berechnung mit statistischen Methoden noch weiter abgekürzt werden.

Ein weiteres Problem: Aktuell geht der Trend wieder hin zu einfacheren Passwörtern. Denn komplizierte Kombinationen sind zwar nicht einfach zu merken, können am Rechner aber trotzdem einfach eingegeben werden. Da aber immer mehr User auf mobile Endgeräte mit einfacheren Tastatur-Layouts setzen, schwinden auch hier die Möglichkeiten. Und dies in Verbindung mit einer Entwicklung, dass die Informationen, die hinter Passwörtern verborgen sind, immer lukrativer werden.

Gerade wenn es um kritische Accounts wie Zugänge zum Online-Banking oder zum VPN von Firmennetzen geht, empfehlen die Berater daher dringend, zusätzliche oder alternative Authentifizierungsmethoden einzusetzen. Denkbar sind etwa Einweg-Passwörter, die per SMS auf ein Mobiltelefon geschickt werden, USB-Dongles oder biometrische Verfahren, um den Zugang zumindest mit einer weiteren Hürde zu versehen, wenn das Passwort geknackt ist.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

digi · 09.02.13, 13:51

Um ausländische BruteForce Attacken ein wenig zu bremsen sollte man mal ö,ä & ü mit einbauen (Da nicht auf jeder Tastatur). Leider kommen einige Sachen damit nicht zurecht. Apple ist da mitunter so ein Kandidat. Zumindest war das vor einem Jahr so bei einem WPA2 Schlüssel mit Ö.

Man könnte sich auch eine 2-Wege Methode überlegen. Man hat einen Teil des Passworts offen rumstehen (Zettel am PC oder sowas) und der zweite Teil ist eben im Kopf. Nur um eben die Anzahl der Zeichen zu erhöhen. Nach ner Zeit hat man das auch alles im Kopf.
Wenn man das Passwort aber öfters Wechselt wäre das eine Option.

Edit: Oder mit Keyfiles wie im Truecrypt. Oder Textpassagen aus nem Buch (Seite, Spalte, Wörter), Oder Ergebnisse aus ner Matheaufgabe, oder irgendwas statisches im Zimmer..

stalker32 · 09.02.13, 14:50

und was ist, wenn mein passwort aus 16 stellen besteht? dann brauchen die rechner immernoch 400.000.000 Jahre, wenn ich mich auf die schnelle nicht verrechnet habe. wer sich 8 zeichen merken kann, der kann sich auch 16 zeichen merken.

die meisten meiner passwörter haben 16+ Zeichen. nicht, dass noch jemand versucht per brute-force meinen mygully account zu hacken ^^

luluk · 09.02.13, 17:26

@Stalker32 dito

meine ganzen Accounts haben ehr als 17Stellen. Für Accounts bei dennen es um Geld geht habe ich meistens 21 aber leider auch nur meistens, viele Sparen lieber und lassen mehr als 18 gar nicht mehr zu.
Zudem alle Halbe Jahr das Passwort austauschen durch ein neues so bleibt erstens das Hirn etwas fit und zweitens ist das nochmals sicherer.

Shaitan12 · 09.02.13, 18:04

Ist ja kein wunder das die Trends wieder zu einfachen Passwörtern gehen, mittlerweile hat doch bestimmt der Durchschnitts Internetnutzer mehr als 10 Passwörter die er sich merken musse. Meine Mama oder meine Oma würden jetzt sagen "Damals gab es all son kram nicht da mussten wir uns keine Passwörter merken".

Aber solange sich niemand die mühe macht und mit Brute-Force-Attacken myGully-Accounts hackt....

Prince · 09.02.13, 18:14

Zitat:

Zitat von Shaitan12

Aber solange sich niemand die mühe macht und mit Brute-Force-Attacken myGully-Accounts hackt....

Braucht ja auch niemand machen solange es "Trojaner" gibt!

digi · 10.02.13, 11:57

zu trovato

Ich geh jetzt mal von Stationären Systemen aus. Mobile Systeme find ich pers. unnütz zu sichern.
Stationäre sind auch anfällig sobald man physischen Zugriff darauf hat, trotzdem schliesst man dann
den Anwender mit einem unsicheren Passwort als Fehlerquelle aus.
Gibt genug Sicherungen wo man die Mindestlänge und Qualitätsmerkmale (Gross/Klein, Sonderzeichen etc.) einstellen kann.
Für öäü gibts auch die Extended Ascii Codes, die man ohne eine entsprechende Tastatur auch eingeben kann (Bei Windows mit ALT+Zahlenfeld (e.g. 153 für ein Ö).

Als Schema ist alles tauglich. Aber wer sagt denn, das (wenn der erste Teil dasistmeinPasswort) der zweite Teil (55achtZigMuss-Sein$) nicht anders sein kann?
Das ist ja das lustige an Passwörtern. Man kann jemand glauben machen das sein Passwort sehr einfach gehalten ist, obwohl der letzte Teil sehr komplex wird. Oder anders herum. Per Brute-Force nicht mehr zu errechnen mit dem bekannten "Schema".

Man kann auch einen öffentlich Ausliegenden Teil nehmen und Gewisse Buchstaben (im Kopf) ersetzten + einem geheimen Teil.
z.B. ist der Teil auf dem Zettel "fallenistnichtschwer" und der geheime Teil "Aufstehen.Dagegen.S1E2H3R" und man ersetzt (im Kopf) beim ersten Teil noch jeden 5ten als Grossbuchstaben.
Schon hat sich das Thema mit Schema erledigt.

Keyfiles (können auch ein Bild oder eine Mp3Datei sein) alleine sind Nutzlos, hab ich auch nie behaupted. Nur in Verbindung mit Passwörtern. Gegen Veränderung kann man auch 3 Backups seiner Bildersammlung auf CD anlegen. Und aus der 10000 Titel anfallenden Sammlung von Mp3s kann man ja 3 Stk als Keyfiles auswählen. Das wird dann nochmal ein Plus an Sicherheit. Oder Teile aus dem Binärcode einer Datei.
Wer hat schon ne Datei die - Keyfile.txt - heisst - LOL

Ich bitte euch. Man kann sich viel Überlegen für den Schutz seiner "wertvollen" Daten.